"In der digitalen Welt setzt der Verstand allzu häufig aus"
Im Gespräch: Prof. Dr. Martin Gaedke, Inhaber der Professur Verteilte und selbstorganisierende Rechnersysteme, über Sicherheit im Internet
Persönliche Daten sind längst zur weltweiten Ware geworden. Im Internet scheinen sie häufig außer Kontrolle zu geraten. Beim Schutz von Daten sind Internetnutzer und Softwareentwickler gleichermaßen gefragt. Darüber sprach Katharina Thehos mit Prof. Dr. Martin Gaedke, Inhaber der Professur Verteilte und selbstorganisierende Rechnersysteme.
Im Januar 2014 hat das Bundesamt für Sicherheit in der Informationstechnik über einen großflächigen Identitätsdiebstahl informiert. Betroffen sind rund 16 Millionen Online-Konten. Wie kann so etwas passieren?
Wenn wir von solchen Dingen sprechen, müssen wir drei Aspekte genauer betrachten. Allen voran ist die Kreativität und Expertise der Angreifer zu nennen. Zweitens ist das Ergebnis der Software-Entwicklung zentraler Bestandteil, also die Software in die eingebrochen wurde. Und letztendlich geht es drittens natürlich in der Regel um die Daten der Nutzer selbst. Dabei können wir von einem Aspekt völlig sicher ausgehen: Die Kreativität und Expertise der Angreifer ist grenzenlos. Bei der Software-Entwicklung wird dabei häufig vergessen, wie kreativ zum einen die Ideen der Angreifer sind, zum anderen, wie schlecht die Nutzer ausgebildet und informiert sind. Hier müssen wir ansetzen, um die Welt sicherer zu machen. Beide Seiten - sowohl die Software-Entwicklung als auch die Nutzer - sind gefordert. Für die Software-Entwicklung muss Sicherheit von Anfang an im Mittelpunkt des Interesses stehen und nicht erst, wenn jemand eingebrochen ist. Muss eine Software beispielsweise wirklich alle möglichen Daten abfragen und diese auch noch speichern? Heute ist es in der Regel so, dass möglichst viele Daten gespeichert werden, um etwa eine personalisierte Nutzerführung zu realisieren. Dabei wird nur zu leicht vergessen: Wenn in das System eingebrochen wird, stehen alle Daten auch den Kriminellen zur Verfügung.
Welche Konsequenzen ergeben sich daraus für die Ausbildung - sowohl der Software-Entwickler als auch der Nutzer?
In unserer Ausbildung an der Fakultät für Informatik hämmern wir unseren Studierenden - also den Software-Entwicklern von morgen - frühzeitig folgendes in die Köpfe: Jede Software kann geknackt werden. Sie lernen also von Anfang an, dass es darauf ankommt, die negativen Folgen eines erfolgreichen Angriffs minimal zu halten. Die Software-Entwicklung muss dahingehend deutlich besser werden. Letztendlich kann der Nutzer nicht sehen, wie gut oder schlecht eine Software unter ihrer Oberfläche ist. Er muss darauf vertrauen, dass zum Beispiel Passwörter und persönliche Daten verschlüsselt werden. Aber das heißt nicht, dass er blind durch das digitale Leben rennen muss. Um die Nutzer besser zu informieren oder auszubilden, müssten wir eine grundlegende Daten-, Sicherheits- und Vertrauenswürdigkeitskompetenz vermitteln - am besten schon in der Grundschule.
Was kann und muss der heutige Internetnutzer denn auf jeden Fall beachten?
Es gilt, die Daten, die Kommunikation und den Zugang zu sichern. Das kann in erster Linie durch Verschlüsselung realisiert werden. Als Benutzer sollte man darauf achten, dass die Kommunikation zu den eigenen Daten verschlüsselt ist, insbesondere zwischen Browser und Web-Anwendung sowie zwischen Mail-Programm und Mail-Server. Moderne Browser zeigen eine sichere Verbindung an. Wenn ich mit dem SmartPhone, Tablet oder Laptop im Café oder Bahnhof an einem öffentlichen Hotspot surfe, sagt der Name "öffentlich" eigentlich schon alles. Verschlüsselung ist nicht nur hier Pflicht. Das gilt auch für die vielen Daten, die ich in der Cloud, beispielsweise bei Dropbox, Google Drive oder Microsoft OneDrive, abspeichere. Die oberste Pflicht sind darüber hinaus sichere Passwörter. Und die haben nichts zu tun mit Vor- und Nachnamen, Geburtsdaten oder der Kombination daraus. Sie müssen willkürlich sein, aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen bestehen und auch nicht nur sechs oder acht Zeichen lang sein, sondern 14 oder sogar 20. Zukünftig wird auch das zu kurz sein, dann sind andere Verfahren als Benutzername und Passwort gefragt. Außerdem müssen natürlich bei jeder Anwendung und jedem Mail-Konto unterschiedliche Passwörter genutzt werden. Denn in die Web-Anwendung oder den Mail-Server wird irgendwann sicherlich eingebrochen. Und wenn ich dann überall dieselbe Kombination aus Nutzername und Passwort verwende, kann ich nur noch sagen: auf Wiedersehen digitales Leben. Und im Zweifelsfall sogar: auf Wiedersehen richtiges Leben. Die vielen komplizierten Passwörter kann man sich natürlich nicht merken. Also braucht man einen guten Passwort-Manager, der sie gesichert speichert.
Das birgt aber doch auch wieder Gefahren - was ist, wenn dann ausgerechnet der Passwort-Manager geknackt wird?
Das stimmt natürlich, aber es gibt in der digitalen Welt nicht die 100-prozentige Sicherheit - das ist wie im normalen Leben auch. Man muss auch im digitalen Leben ein gewisses Rest-Risiko eingehen, muss sich dessen aber auch bewusst sein. Leider setzt in der digitalen Welt der Menschenverstand allzu häufig aus. Man darf nicht auf jedes günstige oder verlockende Angebot eingehen. Denn die kriminelle Energie hat heute schon sehr professionelle Züge angenommen.
Wo muss der Internetnutzer außerdem besonders aufpassen?
Ein weiteres Thema ist der richtige Umgang mit E-Mails. Hier gibt es unzählige Versuche, bei denen Kriminelle unter wirklich kreativen Vorwänden Passwörter abfragen oder Links zu Webseiten verschicken, denen man aus wichtigen Gründen unbedingt folgen müsse. Klickt man auf den Link in der Mail, landet man auf einer Seite mit dem Erscheinungsbild der IT-Abteilung eines Unternehmens - oder zum Beispiel auch der Universität - aber die Seite hat nur einen Zweck: Den ahnungslosen Benutzer in die Falle zu locken. Hier kann man nur in einer Weise richtig handeln: Nicht auf die Mail antworten und auf gar keinen Fall auf einen Link klicken! Außerdem muss man seine Software aktuell halten, der Einsatz klassischer Schutzmaßnahmen wie Firewalls und Virenscanner versteht sich heute von selbst und zwar für jedes System. Das gilt auch für die Entwicklung hin zu mobilen Geräten, auch ein Tablet, Handy und Phablet kann angegriffen werden. Für diese mobilen Geräte gibt es zwischenzeitlich genügend Schadsoftware. Und auch hier gilt: Man muss seinen Menschenverstand einschalten und darf keine Software aus dubiosen Quellen herunterladen. Wenn gute Software kostenfrei angeboten wird, verdient der Anbieter häufig Geld damit, Daten über die Benutzer zu verkaufen. Das steht dann im Kleingedruckten, aber wer liest und versteht schon alle AGBs, denen er zustimmt? All das ist letztendlich nicht sonderlich neu, aber das heißt leider immer noch nicht, dass alle Benutzer darauf achten.
Wohin gehen die aktuellen Entwicklungen in der Forschung, um einen großflächigen Identitätsdiebstahl wie den anfangs beschriebenen mit Millionen Betroffenen zu vermeiden?
An dieser Thematik forschen wir auch an meiner Professur: Der Ansatz ist mehr Sicherheit durch mehr Verschlüsselung und mehr Verteilung, damit Angreifer es schwerer haben, durch einen einzigen Einbruch viele Daten zu erhalten - wie es heute oftmals der Fall ist. Wir beteiligen uns in diesem Zusammenhang an der Entwicklung eines neuen Standards für sichere Identitäten im Internet - der sogenannten WebID Empfehlung des World Wide Web Konsortiums W3C, dem Gremium zur Standardisierung der Technologien des World Wide Web. Die WebID ermöglicht es, sich gegenüber einer Webseite sicher auszuweisen, ohne dabei solche unsicheren Ansätze wie Nutzername und Passwort zu verwenden. Darüber hinaus erzwingt die WebID immer eine verschlüsselte Übertragung und erlaubt es dem Nutzer insbesondere zu entscheiden, welche seiner persönlichen Daten eine Web-Anwendung nutzen darf. Ziel ist es, dass der Nutzer Eigentümer seiner eigenen Daten bleibt. Heute ist es häufig genau umgekehrt - ich muss darauf vertrauen, dass alle Anwendungen sorgfältig mit meinen Daten umgehen. Wir forschen nun daran, dass man Eigentümer seiner Daten bleibt und den Zugriff darauf selbst bestimmt und notfalls jederzeit einschränken kann.
Wie weit sind Sie bei diesem Thema fortgeschritten?
Wir haben im Rahmen des Europäischen Forschungsprojektes OMELETTE einen ersten Prototypen fertiggestellt, bei dem personenbezogene Daten nur noch einmalig bei der WebID eingetragen werden und andere Dienste dann darauf zugreifen können. In den vergangenen Monaten konnten wir in diesem Zusammenhang größere Erfolge erzielen, wenn es darum ging, völlig neuartige Zugangsberechtigungen zu beschreiben oder den Zugriff auf die persönlichen Daten zu steuern. Der Nutzer gibt dabei nur noch die Verknüpfung zu seinen Daten und die einmalige Verwendung frei und nicht mehr die Daten ansich. Zwar wird es auch hier per Definition Kriminelle geben, die Daten trotzdem noch speichern oder einzubrechen versuchen - aber der Aufwand wird so stark steigen, dass es sich dann kaum noch lohnen sollte. Die über die Technologie hinaus gehenden juristischen Fragestellungen und die globale Unterstützung der Strafverfolgung in unserer vernetzen Welt birgt weitere Herausforderungen und Fragestellungen, sowohl für die Forschung als auch die Gesellschaft.
Datenschutz ist nun inzwischen in aller Munde - trotzdem geben viele Menschen ganz Persönliches auf Facebook und bei anderen sozialen Netzwerken preis. Wie passt das zusammen?
Wenn man an Datenschutz denkt, dann an das Offensichtliche: Man möchte seine Adresse schützen, sein Geburtsdatum, bestimmte Vorlieben, seinen Freundeskreis. Die Debatte geht aber häufig am eigentlichen Thema vorbei, da es viel weitreichender ist. Es geht nämlich um das Vorhersagen von Nutzerverhalten. Es ist für mich immer wieder verblüffend, was aufgrund der Analyse globaler Datenbestände und globalen Kommunikationsverhaltens alles vorhergesagt werden kann. Wir sprechen in diesem Zusammenhang auch von Big Data - bezüglich der persönlichen Daten und des persönlichen Verhaltens. Zur Verdeutlichung: Hierein fällt beispielsweise das kürzlich von Amazon angemeldete Patent zur antizipatorischen Lieferung. Der Liefervorgang wird schon gestartet, bevor Sie überhaupt eine Bestellung getätigt haben, weil - in diesem Fall - Amazon vorhersagen kann, dass Sie das Produkt kaufen werden. Amazon nutzt dazu das umfangreiche Wissen über bisherige Kauf- und Suchverhalten aller Nutzer. Google kann aufgrund von Fragen schon lange erkennen, ob eine Krankheitswelle im Anmarsch ist. Facebook schrieb kürzlich über vorhersagbare Kommunikationsverhaltensmuster beim Verlieben. Das Nutzerverhalten wird sich dadurch auch wiederum verändern, wenn man erst mal weiß, dass man beobachtet wird. Das führt letztendlich zu einer enormen Beeinflussung der ganzen Gesellschaft - das müsste viel stärker diskutiert werden. Andererseits bieten diese sozialen Netzwerke natürlich auch gänzlich neue Möglichkeiten der Kommunikation sowie der Organisation von Gruppen und Aufgaben - ein Potenzial, das wir noch gar nicht richtig begreifen, nur zögerlich nutzen und was die Welt der Zusammenarbeit und der Unternehmen revolutionieren wird. Das ist dann die andere Seite der Medaille.
Viele Facebook-Nutzer wählen Kunstnamen, um ihre Daten zu schützen. Ist das überhaupt ein geeigneter Weg und hebelt dieses Vorgehen nicht mit der Zeit das Existenzprinzip von Facebook aus? Schließlich lebt die Plattform von Werbung, die auf den einzelnen Nutzer zugeschnitten ist.
Es ist immer die Frage: Vor wem will man die Daten eigentlich schützen? Daten werden nicht alleine von Facebook gesammelt und geliefert, sondern auch von großen Werbeunternehmen und Datenlieferdiensten, die die Daten von vielen Plattformen wie Facebook, Google und E-Mail-Anbietern verknüpfen können. Wenn von ein und demselben Computer innerhalb kurzer Zeit auf ein Facebook-Profil mit einem Fantasienamen und ein E-Mail-Profil mit einem realen Namen zugegriffen wird, ist die Wahrscheinlichkeit hoch, dass beide auf den selben Nutzer zurückgehen. Kommen dann noch weitere Informationen hinzu, ist der echte Nutzer schnell identifiziert. Kunstnamen bieten natürlich schon einen gewissen Schutz vor dem Nachbarn oder dem Arbeitgeber - aber sicher ist das nun wirklich nicht, schon gar nicht vor den Plattformbetreibern.
Kann man denn überhaupt noch guten Gewissens im Internet surfen?
Ja, aber natürlich! Der Weg eines Menschen im Internet ist nachvollziehbar. Und Spuren haben sicherlich länger Bestand als im normalen Leben. Das darf aber doch nicht zur Panik führen, man muss sich auch im Netz dessen bewusst sein, was man tut. Das Thema gehört natürlich auch in die Ausbildung rein - sowohl in der Schule als auch im Studium. Das leben wir beispielsweise in unserem Masterstudiengang Data & Web Engineering, in dem die Software-Entwickler und Gestalter der Zukunft ausgebildet werden.
Vielen Dank für das Gespräch!
Katharina Thehos
02.04.2014